Histórico de dispositivos conectados via USB e últimos dados transferido para estes dispositivos.

1. Histórico de dispositivos conectados via USB e últimos dados transferido para estes dispositivos.

FFFranco
(usa Ubuntu)

Enviado em 12/03/2017 - 07:00h

Olá Galera,

Queria saber como faço para verificar os últimos pendrive conectados via USB e os dados transferido para estes dispositivos. Fui assistir uma palestra e quando voltei para minha mesa de trabalho verifiquei que alguém havia mexido em meu pc de mesa. Queria ter certeza e o único jeito é verificar um histórico com data, hora, nome do dispositivo e arquivos transferido. No windows vi que é possivel e tem bastante conteúdo na rede, mas não consegui achar para o linux. Desde já grato pessoal.

0 0

Quote

2. Re: Histórico de dispositivos conectados via USB e últimos dados transferido para estes dispositivos.

FFFranco
(usa Ubuntu)

Enviado em 14/03/2017 - 13:59h

FFFranco escreveu:

Olá Galera,

Queria saber como faço para verificar os últimos pendrive conectados via USB e os dados transferido para estes dispositivos. Fui assistir uma palestra e quando voltei para minha mesa de trabalho verifiquei que alguém havia mexido em meu pc de mesa. Queria ter certeza e o único jeito é verificar um histórico com data, hora, nome do dispositivo e arquivos transferido. No windows vi que é possivel e tem bastante conteúdo na rede, mas não consegui achar para o linux. Desde já grato pessoal.

0 0

Quote

3. Re: Histórico de dispositivos conectados via USB e últimos dados transferido para estes dispositivos

paulo1205
(usa Ubuntu)

Enviado em 14/03/2017 - 17:55h

Mensagens sobre dispositivos plugados provavelmente vão para o ring buffer de eventos do kernel, e portanto devem ser possíveis de ver com o dmesg.

Possivelmente aparecem também em /var/log/messages, var/log/syslog ou /var/log/kern.log, ou outro arquivo localizado em /var/log, dependendo da sua distribuição e da configuração do serviço de syslog.

Não tenho nenhum pendrive para testar aqui, agora, para ver a forma da mensagem e o nível de detalhe, mas acho que as informações acima devem servir de ponto de partida para a sua investigação sobre se um pendrive (ou outro dispositivo USB qualquer) foi colocado ou não na máquina.

Quanto ao que pode ter sido executado, acho que precisaria de uma ajuda do auditd, configurado para logar todas as chamadas a open(), creat() e execve() sobre um dispositivo externo.

1 0

Quote

4. Re: Histórico de dispositivos conectados via USB e últimos dados transferido para estes dispositivos

XProtoman
(usa Fedora)

Enviado em 14/03/2017 - 19:52h

Não sei se isso vai lhe ajudar. Ele não dirá o que foi copiado e esse tipo de coisa, apenas poderá dizer o nome do dispositivo, capacidade e quando foi removido.

Se sua distribuição utiliza systemd, tente usar esse comando:

# journalctl --boot=-1

-1 indica que foi a um boot atrás, -2 seriam 2 boots atrás e por aí vai.

____________________
“Mas nós sabemos que a razão de a maioria estar aqui, é a nossa afinidade com a desobediência!” (Morpheus)

2 0

Quote